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Abstract of FR2788154 

The security technique is based on storage of a large number of personal codes on the system, and using a different code for 
each transaction. Thus an intercepted code cannot be reused successfully. This can be used in conjunction with techniques such 
as matching a clock signal, authentication of a storage device or identification of the person operating the system. 
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tele^ementI YSTEMES d echange oe d °nnees securises notamment pour paiements et 

(57) Supports et systemes d'echange de donnees securi- 
ses notamment pour paiements et telepaiements. 

L'echange de donnees inforrnatiques confidentielles, le 
paiement par carte bancaire, sur place ou a distance par 
rintermediaire d'un reseau pose le probleme de la 
securisation: indiquer son code personnel c'est risquerde te 
voir reutilise delictueusement. 

Le principe de base de {'invention consiste a stocker un 
grand nombre de codes sur le support servant a un echange 
d'informations ou a un paiement et a utiliser un code diffe- 
rent pour chaque operation realisee. Ainsi si un code est in- 
tercepts, il ne peut etre reutilise. 

D'autres moyens peuvent etre mis en oeuvre comme 
I'association des donnees a un signal comme un signal 
d'horloge, I'authentification du support, Identification du 
possesseur du support. 

L'invention vise a proposer de nouveaux supports (car- 
tes de paiement, disques a lecture optique et/ ou 
magnetique...) et de nouveaux systemes d'exploitation se- 
curises sans utiliser necessairement de nouveaux lecteurs 
de supports. 
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La presente invention se situe dans le domaine de la reconnaissance des 
intervenants et de la securisation des echanges de donnees informatiques 
principalement entre ordinateurs qui se transmettent des donn6es num6riques en 
clair, codees ou cryptees notamment en vue d'un paiement electronique ou d'un 
05 telepaiement. 

Quel que soit le niveau de complexity ou de sophistication d'un systeme de 
securisation de telepaiement ou de paiement sur place utilisant une certification 
comportant un echange de donnees meme cryptees ou creant ou reconnaissant 

10 une signature numerique, la communication, le transfert de donn6es peuvent 
toujours etre pirates pour etre utilises delictueusement avec des rnateriels de 
plus en plus sophistiqu6s et des pirates de plus en plus ingenieux lorsqu'il s'agit 
de donnees, de codes ou de signatures num6riques pouvant etre reutilises. Le 
piratage peut s'en prendre aux ordinateurs eux-m£mes par exemple avec 

15 I'intrusion de virus du type "cheval de Troie" qui permettent, entre autres, de 
reconnaftre et stocker un code secret lorsqu'il est utilise dans I'ordinateur pour 
ensuite en expedier delictueusement une copie vers un autre ordinateur; ce 
piratage peut s'en prendre aussi aux communications entre les ordinateurs (ou 
les peripheriques tels que lecteurs de cartes a puces) quelles que soient les 

20 voies utilisees (lignes telephoniques electriques, fibres optiques, liaisons 
satellites ou autres). 

La r6utilisation delictueuse de donn6es piratees a Tinsu des utilisateurs legitimes 
de ces donnees est le point faible de la securisation des echanges de donnees 
num6riques et particulierement de tout moyen de paiement electronique ou de 
25 telepaiement 

Afin de remedier a ces inconvenients et selon une premiere caracteristique, le 
dispositif selon ('invention comporte un support qui utilise des donn6es en vue de 
la securisation ne pouvant etre exploitees qu'une seule fois. Ces donnees sont 

30 de preference stock6es sous la forme d'un grand nombre de codes et/ou 

d'algorithmes sur ledit support utilise pour Techange (par exemple un paiement), 
de preference disposes dans une seule liste et ne pouvant etre exploites un par 
un qu'une seule fois. De preference dans le systeme informatique du 
destinataire, un deuxieme stockage de donnees identiques a celles stock6es sur 

35 ledit support et dans le m£me ordre permet d'identifier chaque code propose 
comme provenant bien dudit support. Chaque fois qu'un code est echange entre 
deux dispositifs informatiques, il est rendu inutilisable, c'est le code suivant dans 
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la liste des codes qui sera utilisable pour I'echange suivant. Ainsi de telles 
donnees interceptees delictueusement ne peu vent etre reutlisees par un pirate. 

Dans toute la presente description ainsi que dans les revendications, les termes 
suivants sont utilises selon la definition indiquee pour la comprehension mais non 
restrictive: 

- autorite: organisation qui emet et/ou gere I'utiiisation des supports en vue de 
I'acceptation ou du refus d'une authentification, d'un paiement, d'un telepaiement, 

- banque: c'est dans certains cas I'autorite. elle peut deleguer tout ou partie de 
ses pouvoirs a une tierce partie qui devient I'autorite dans le systeme de 
securisation des echanges, 

- commercant: foumisseur de produits et/ou de services, 

- code: il peut s'agir d'au moins un mot, au sens informatique, et/ou d'au moins 
un algorithme, 

- echange: envoi de donnees numeriques d'un emetteur vers un recepteur; la 
communication de donnees peut se faire dans les deux sens pendant le meme 
echange et permet I'envoi de messages, codes,. ..afin de realiser une operation 
complete comme un paiement avec verifications sur les intervenants; I'echange 
peut s'effectuer sur place par le porteur par exemple par un paiement par carte a 
puce, ou a distance par exemple par I'intermediaire d'un ordinateur relie a un 
autre ordinateur par une ligne telephonique, 

- numerique: est employe dans le sens du systeme qui est employe par les 
ordinateurs, en principe le systeme binaire, et qui peut etre represents par 
d'autres systemes (octal, hexadecimal, .) ou complete par un systeme a valeurs 
intermediates issu de la logique floue, 

- pirate: un individu ou un groupe qui commet des actes delictueux afin de tenter 
de detoumer, de s'approprier des informations confidentielles pour elles-memes 
ou pour se substituer a un commercant, a un porteur ou a une autorite pour 
detoumer des fonds a son profit; il peut agir a tous les niveaux d'un echange: vol 
d'un support, intrusion dans les echanges informatiques pour produire de faux 
supports ou de fausses donnees informatiques. .. 

- porteur c'est le possesseur authentique d'un support avec lequel il peut 
effectuer des echanges avec un commercant, avec sa banque ou avec une autre 
entite. sur place ou a distance, 

- support: dispositif ou I'on peut inscrire en memoire des donnees informatiques 
et comportant egalement des fonctions permettant, entre autres, d'effectuer des 
echanges; le support peut etre une carte, de preference de type carte bancaire. 
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ou un disque (disquette, CD ROM ou autre) a lecture magnetique et/ou optique 
ou un objet quelconque (bague, montre, monture de lunettes, porte-cles, 
pendentif. ...) pouvant integrer un systeme informatique necessaire a un echange 
securise par l'intermediaire d'un dispositif informatique tel qu'un ordinateur avec 
05 ou sans I'aide d'un lecteur. Le support peut aussi etre autonome. a I'exception 
eventuellement d'une source d'energie ; et se passer de l'intermediaire d'un 
ordinateur pour effectuer des echanges avec des materiels informatiques. 

Selon des modes particuliers de realisation: 

10 - la(les) liste(s) de codes peut(peuvent) etre completee(s) ou remplacee(s) par au 
moins un algorithme capable de creer des codes au fur et a mesure de la 
necessite resultant de ('utilisation du support; au moins un algorithme installe 
dans le systeme informatique de I'autorite cree les memes codes pour les 
comparer a ceux du support quand un echange avec ce support necessite une 

15 authentification dudit support. 

- les donnees concernant un echange, une operation quelconque en clair, 
codees ou cryptees peuvent etre associees a au moins un code de la liste 
inscrite sur le support ou creee par le systeme de ce dernier. 

- le support n'est utilisable que par l'intermediaire d'un petit nombre d'ordinateurs 
20 particuliers (de preference un seul ordinateur) pour realiser des echanges. 

- I'utilisation du support peut etre soumise a un code variable propre au 
possesseur du support. 

- un code piege peut interdire I'utilisation du support en cas de tentative 
d'utilisation de ce code. 

25 - un dispositif de detection utilisant par exemple au moins un signal d'horioge ou 
tout autre signal ayant la meme fonctibn peut etre associe au systeme pour 
s'assurer que chaque echange est transmis en totalite, en temps reel et sans 
interruption. 

- les caracteristiques d'au moins un signal d'horioge ou de tout autre signal ayant 
30 la meme fonction peuvent presenter des variations prevues, de preference 

secretes. 

- le support peut ne fonctionner. lorsqu'il est sollicite pour un echange, que si 
Tautorite lui adresse au moins un code, qui change de preference a chaque 
echange ou tentative d'echange que ledit support reconnait, apres quoi 

35 seulement il produit des donnees ^identification que I'autorite devra reconnaitre. 

- ('identification du porteur peut se faire par plusieurs moyens dont un dispositif 
secondaire indispensable au fonctionnement du support. 
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Dans une forme de realisation nullement limitative, le dispositif objet de 
I'invention se presente sous la forme d'un support pouvant, notamment. stocker 
une grande quantite de donnees numeriques de preference sous forme de codes 
qui sont disposes dans au moins une liste rendue inaccessible a la consultation 

05 ou a la modification une fois qu'elle est inscrite dans la memoire du support, sauf 
pour !e premier code de cette liste qui peut etre consults, utilise par exemple 
pour une authentification dans un echange. De par la conception du support, 
chaque code ne peut etre utilise qu'une seule fois apres quoi il peut etre ecarte. 
efface ou rendu inaccessible et c'est le code suivant de ladite liste qui est alors le 

1 0 seul code consultable, utilisable et chaque fois sous certaines conditions decrites 
ci-apres. 

Lesdits codes contenus dans au moins une liste se succedent de maniere 
imprevisible, pour un observateur exterieur a la mise en place de la liste et a sa 
confidentialite, sont concus par exemple de maniere aleatoire grace a un iogiciel 

15 dont dispose I'autorite qui realise et qui dispose des codes dans deux listes 
absolument identiques. Tune est inscrite sur un support qui sera foumi a un 
porteur autorise, connu de I'autorite, I'autre reste en memoire dans le systeme 
informatique de I'autorite. Une telle disposition aleatoire d'un grand nombre de 
codes permet de realiser avec le meme Iogiciel un grand nombre de listes 

20 differentes les unes des autres attribuables a un grand nombre de porteurs. 

Ledit support permet d'echanger des donnees informatiques servant a I'autorite a 
authentifier le support pour ensuite echanger des donnees qui peuvent etre 
confidentielles, qui engagent les intervenants qui peuvent etre par exemple 
propres a une entreprise qui correspond avec ses succursales ou tout autre type 

25 d'echange de donnees que Ton veut garder confidentielles ce qui permet 

notamment de securiser un paiement sur place, sur le lieu de la transaction grace 
au support utilise dans ce but ou de securiser un telepaiement realise par 
exemple grace a un ordinateur relie a un reseau informatique. 
Dans le cas ou les donnees sont confidentielles, un codage ou un cryptage sont 

30 de preference utilises avec un degre plus ou moins eleve du niveau de 
confidentialite tout en respectant la reglementation du(des) Etat(s) ou ces 
donnees doivent circuler. 

De preference et contrairement au mode de fonctionnement du support, le 
systeme informatique de I'autorite peut consulter les codes precedents et les 
35 codes suivants dans sa propre memoire lors d'un echange afin d'eviter un 
blocage de ce type d'echange si, a la suite d'une mauvaise manipulation du 
porteur ou une mauvaise transmission des donnees, un code doit etre elimine 
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pour laisser place au suivant alors que I'autorite n'a pas encore enregistre ce 
dernier code emis par le support. 

Pour eviter une substitution du support emis ou valide par I'autorite par un faux 
support ayant apparemment le contenu d'un support authentique, en essayant de 
trouver le bon code en en realisant un grand nombre et en les proposant un par 
un a I'autorite, au bout d'un certain nombre de ieniatives qui ne fournissent pas !e 
bon code, nombre predetermine en accord avec le porteur authentique. le 
systeme informatique de I'autorite peut bloquer I'utilisation de ce support, en 
informer par exemple le commercant aupres duquel un paiement est en cours ou 
conserver le support si la tentative se fait aupres d'un distributee de billets par 
exemple. Apres un blocage de ce type, le support peut etre definitivement 
inutilisable ou bien le porteur devra foumir la preuve de son identite en se 
rendant physiquement aupres de I'autorite pour constater qu'il est bien le porteur 
autorise et debloquer I'utilisation de ce support dans le systeme informatique de 
I'autorite. Cette contrainte est en realite une mesure de securite contre I'utilisation 
d'un faux support au nom d'un porteur autorise et a son insu. Pour le porteur 
autorise ce type de blocage ne devrait jamais etre applique dans un usage 
normal du support. 

Par cette caracteristique des listes identiques sur le support et dans le systeme 
informatique de I'autorite, celle-ci elimine les risques: 

- d'utilisation et de paiement avec un faux support, 

- d'un telepaiement delictueux en ayant pirate les donnees numeriques 
echangees, lors d'un paiement ou d'un telepaiement precedent, entre un support 
et une autorite. 

Quel que soit le degre de technologie mis en oeuvre pour un tel piratage, le code 
utilise pour un paiement ou un telepaiement avec un support securise comme 
decrit plus haut etant utilise et done consumable seulement pour un seul echange 
et n'etant plus valable pour un autre echange, les donnees piratees sont 
inexploitables. 

Cependant un piratage evolue, Ions d'un paiement. pourrait consister a detoumer 
la voie de communication entre le commercant et la banque. A la prise de 
contact du commercant avec la banque du porteur, la communication 
parviendrait en fait a une fausse banque qui pourrait interroger le support 
presente, en extraire le premier code, renvoyer au commercant de fausses 
donnees d'acceptation du paiement pour ne pas donner I'eveil meme si ce 
paiement n'a pas lieu et utiliser immediatement le code foumi par le support pour 
une autre transaction au detriment du porteur du commercant ou de la banque 
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selon les accords prealables entre les participants. 

Bien que ce type d'agissement demande une haute technicite. il est bon de s'en 
premunir par exemple en dotant le commercant d'un systeme semblable a celui 
decrit plus haut comportant au moins un couple de deux listes identiques de 

05 codes dont on ne peut consulter qu'un code a la fois mais dans cette utilisation 
dss listes ds cedes e'est !a cemmercar:* qui est S'autcrite afin de rsccnnaTtre, 
d'authentifier la banque du porteur. Les banques desirant participer a cette 
securisation peuvent aussi s'authentifier mutuellement, lors de leurs echanges en 
employant aussi des listes de codes comme decrit plus haut. 

1 0 Tous les intervenants sont ainsi authentifies mutuellement ce qui evite un 
echange avec un faux participant. Seul le porteur ne semble pas avoir 
dedications fiables d'authentification ni du commercant ni de la banque. il se fie 
aux indications fournies par le commercant ou par un moniteur de caisse de 
celui-ci mais en fait le paiement ne peut etre effectue que si la banque a 

1 5 authentifie son support ce qui equivaut pour le porteur a avoir authentifie sa 
banque si son compte est debits. 

Pour augmenter la securisation du support objet de ("invention, le systeme peut 
permettre d'utiliser plusieurs codes au cours d'une meme operation. Ces codes 
sont issus d'au moins une liste, un par un et dans I'ordre ou ils sont inscrits sur le 

20 support comme decrit plus haut. S'il paraft peu probable de decouvrir par le 
hasard quel est le bon code a un moment donne dans le deroulement de 
I'utilisation du support, il paraft impossible de decouvrir, egalement par hasard, 
plusieurs codes successifs dans I'ordre ou ils sont inscrits. 
Par souci d'une utilisation simple du systeme il est preferable que chaque 

25 operation d'authentification soit realisee automatiquement par chaque terminal de 
chaque participant. 

Le dispositif selon I'invention se compose d'une part d'un support ayant les 
caracteristiques particuiieres decrites plus haut et d'autre part d'un systeme 
30 d'exploitation dans lequel intervient au moins un support tel que decrit, le 
systeme informatique de I'autorite en combinaison. lorsque e'est necessaire. 
avec des lecteurs de supports et/ou des moyens de transmission et de traitement 
informatiques necessaires a un echange. 

35 Plusieurs variantes sont decrites ci-apres dans lesquelles le support possede 
dans tous les cas la caracteristique de base qui est la presence d'au moins une 
liste de codes dont un seul a la fois est accessible comme il est decrit plus haut 
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sauf dans la premiere variante ou cette caracteristique peut etre modifiee. 

Selon une premiere variante, au moins une liste de codes est completee ou 
remplacee par au moins un algorithme capable de creer des mots, utilisables 

05 comme des codes, au fur et a mesure de la necessite resultant de I'utilisation du 
support. Au mcins un algorithms installe dans !e systeme infofmaiique de 
I'autorite cree les memes codes pour les comparer a ceux du support quand un 
echange avec ce support necessite par exemple une authentification dudit 
support. De preference ledit(lesdits) algorithme(s) n*est(ne sont) pas 

1 0 consultable(s) ou transformable(s) a partir du moment ou il(s) est(sont) inscrit(s) 
dans le support. 

Selon une autre variante, les donnees autres que les codes, concernant un 
echange, une operation en clair, codee ou cryptee peuvent etre associees par le 
support ou par le systeme informatique avec lequel il communique, emetteur ou 
recepteur, a au moins un code d'au moins une liste de codes inscrite sur le 
support ce qui rend les donnees difficilement falsifiables et ce qui permet de 
coder un echange en clair. L'autorite etant la seute a connartre le ou les codes 
employes pour decoder cet echange. etant entendu que ces codes aussi sont de 
20 preference differents a chaque echange. Pour une operation consistant en un 
paiement c'est I'assurance pour le porteur comme pour le commercant que les 
donnees comme les conditions d'une commande, la reference d'un produit. le 
montant d'un paiement ne peuvent pas etre modifies au cours de I'echange. 

Selon une autre variante le support n'est utilisable que pour des echanges de 
donnees et des telepaiements securises depuis un ordinateur particulier, par 
exemple son ordinateur personnel ou un ordinateur specifique d'une entreprise. 
pour echanger, avec un autre ordinateur. La lecture et I'exploitation dudit support 
necessite un echange de donnees entre ledit support et I'ordinateur auquel il est 
lie induisant une reconnaissance mutuelle des deux elements sans laquelle le 
support ne foumit pas les donnees qu'il possede et qui sont necessaires a un 
echange avec un autre ordinateur afin de realiser une operation particuliere 
notamment un paiement. Le support est de preference un disque qui peut etre lu 
par un lecteur faisant partie integrante de I'ordinateur ou un lecteur specifique 
raccorde a cet ordinateur ce qui permet de donner au support la forme et 
I'apparence les plus diverses en plus de celles d'un disque. On limite ainsi le 
risque de vol du support qui peut etre utilise et conserve en un meme lieu qui 



25 



30 



35 
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peut D'etre accessible qu'a I'utilisateur. 

Le support n'est reconnu que par un seul materiel informatique auquel il est 
associe et ne peut etre utilise a partir d'un autre materiel meme d'un type 
identique. 



Seion une autre variants, !a pcssibilits d'uSSiser !e support est subcrdcnnee a 
I'entree d'un code personnel propre a chaque porteur, secret, propose au 
systeme du support grace a un lecteur integre dans le support ou par un lecteur 
classique ou par un ordinateur sans lecteur exterieur, a chaque utilisation, afin 

1 0 d'etre reconnu par le support qui autorise le porteur a poursuivre sa procedure en 
vue d'un echange complet. Ledit code personnel varie dans le temps en tout ou 
partie suivant des modes que le porteur est seul a connaftre et que le support 
reconnatt. Les variations sont choisies par le porteur avant la creation du support 
parce qu'elles sont facilement memorisables par le porteur en fonction, par 

15 exemple, de sa date de naissance, des jours ou des heures pairs ou impairs, des 
lettres d'un nom connu du porteur... Malgre ces variations, a un moment donne, 
un seul code personnel est valable et accepte par le support. 

Seion une autre variante, au moins un code piege peut bloquer I'utilisation du 

20 support. Certains porteurs inscrivent leur code personnel pres de leur support, 
dans le cas d'une carte bancaire par exemple.pour le retrouver facilement en cas 
d'oubli. Malheureusement en cas de vol du support, il est probable que le voleur 
saura dans ce cas retrouver le code personnel pour utiliser delictueusement le 
support. Ledit code piege est a inscrire de preference sur le support ou a 

25 proximite, par exemple dans le portefeuille qui le contient. En cas d'utilisation 
d'un support vole avant que le porteur autorise n'ait precede aux formalites en 
vue de bloquer I'utilisation de ce support, si le voleur utilise ce code, comme un 
code personnel, ledit code est transmis a I'autorite qui interdit aussitot toute 
operation en cours et a venir realisee avec ce support et previent le commercant, 

30 s'il s'agit d'une operation de paiement aupres d'un commercant que ce support 
est certainement vole; s'il s'agit d'une tentative d'utilisation dans une machine 
automatique comme un distributee de billets, I'operation est refusee et le support 
peut etre retenu bien que desormais inutilisable. S'il s'agit d'une erreur due a une 
manipulation du porteur authentique, ce dernier doit se rapprocher physiquement 

35 de I'autorite pour faire la preuve de son identite afin que I'utilisation de son 
support soit debloquee dans le systeme informatique de ladite autorite. 
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Selon une autre variante un dispositif de detection est associe au systeme pour 
s'assurer que chaque echange est transmis en totalite, en temps reel et sans 
interruption pour eviter qu'un echange puisse etre soit en partie detourne, soit 
intercepte, modifie et reexpedier plus tard, soit intercepte, modifie et reexpedie 

05 en temps reel ou quasiment ce qui est plus difficile a realiser. Ledit dispositif de 
detection, par example, emet au mcins un signal qui peut etre un signal d'hcricgc 
ou tout autre signal ayant la meme fonction associe a tout ou partie des donnees 
d'un echange afin que ces donnees soient liees entre elles. identifiables et 
indissociables sauf en laissant une trace. Le systeme informatique de I'autorite 

1 0 detecte toute anomalie et peut reagir par exemple en demandant une 

confirmation ou en refusant Pauthentification et le contenu de I'echange ou en 
refusant le paiement s'il s'agit d'une procedure de paiement. 

Selon une variante complementaire de la variante pr6cedente, les 
1 5 caracteristiques du signal(des signaux) d'horloge ou de tout autre signal ayant la 
meme fonction, varie(nt) dans un meme echange et/ou sont differentes pour 
chaque echange. Le mode de ces variations est stocke dans une memoire du 
support ainsi que dans la memoire du systeme informatique de I'autorite qui 
controle la conformite des variations. Pour un observateur exterieur a la 
20 confidentiality desdites variations il est impossible de les prevoir ce qui rend 

impossible la production dudit signal, en temps reel, par un pirate qui tenterait de 
remplacer des donnees par de fausses donnees. 

Toujours par souci de securisation, le mode desdites variations est de preference 
inaccessible a la consultation sur le support meme pour I'autorite. il se deroule au 
25 fur et a mesure de I'utilisation du support selon un plan preetabli. 

Selon une autre variante, le support ne fournit, lorsqu'il est sollicite directement 
ou par un lecteur de supports, que des donnees permettant d'interroger I'autorite 
qui gere I'utilisation dudit support apres quoi, dans le deroulement prevu de 
I'echange. I'autorite doit adresser vers ledit support des donnees particulieres qui 
sont de preference le premier code disponible d'une liste de codes dont on ne 
peut acceder qu'a un seul code a la fois dans les conditions decrites plus haut, 
inscrites dans une memoire dudit support afin que ce dernier poursuive le 
deroulement de I'echange des qu'il a reconnu ces donnees. Lorsque ces 
donnees sont reconnues comme venant de I'autorite. le support fournit des 
donnees permettant a I'autorite de I'authentifier. Cette variante dans I'utilisation 
des listes de codes evite en extrayant un code du support d'avoir la possibilite de 



30 



35 
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le detourner sur simple interrogation (fun lecteur de supports. 
Si les donnees fournies au support, pour ouvrir un ^change, par Tautorite ne 
correspondent pas $ ceiles qu'il est prevu qu'il revive, ledit support ne continue 
pas Techange. Mis a part les cas d'anomalies de fonctionnement dues a des 

05 pannes materiels, une telle configuration est certainement la consequence d'une 
fausse autorite esssya.it de s'introduire parmi les intervenants autherstiques. Urse 
nouvelle tentative est de preference possible mais le nombre de tentatives 
infructueuses autorisees pour une meme operation ou pour des operations 
successives est limite; apres avoir epuise ce nombre de tentatives, ledit support 

10 refuse Techange et la communication du premier code prevu, reste ferm6 & tout 
echange ulterieur et le porteur doit se rapprocher physiquement de Tautorite pour 
trouver la cause de cette situation et s'assurer que le support fonctionne ou 
obtenir un autre support. De preference ledit support est reutilisable au bout d'un 
laps de temps qui permet au porteur et a Tautorite de determiner la nature du 

1 5 probleme lors du dernier 6change. 

La tentative de piratage est ainsi vaicue: 

Exemples: en supposant un support ayant une seule liste de codes accessibles 
comme decrit plus haut, pour la comprehension affectons £ chaque code du 
debut de cette liste un numero de 1 a 3. Si le pirate essaie d'intercepter des 
20 codes pour acc6der a un echange cela se passe ainsi: 

1) le pirate, connects au r6seau ou a une ligne telephonique interroge le support 
comme s'il etatt Tautorite, ne connaissant pas le code n°1 que doit fournir 
Tautorite pour poursuivre Techange, le support ne poursuit pas Techange, la 
tentative de piratage s'arrete la (de preference cette tentative est signalee a 

25 Tautorite au prochain echange avec Tautorite par le support qui a enregistre 
Tincident). 

2) - le pirate, connecte au r6seau ou & une ligne telephonique, interroge Tautorite 
comme sll 6tait un support autosise; Tautorite adresse au pirate le code n°1 ( en 
croyant Tadresser £ un support authentique); avec ce code n°1 le pirate 

30 intercepte un debut d'echange avec le support authentique (ce qui est d6ja 
difficile), lui adresse le code n°1; le support reconnait le code et lui adresse en 
retour le code n°2 comme une authentication vis-a-vis de la vraie autorite; le 
pirate possede alors les codes n°1 et n°2 qu'il adresse alors a Tautorite comme 
venant d'un support autoris6 et afin d'effectuer un echange complet, une 

35 transaction delictueuse. 

- mais le code n°1 ayant dej£ ete echange par Tautorite dans un echange 
precedent, n'est plus valable, Tautorite demandera au support (qui dans ce cas 
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est le pirate) de lui adresser le code n°3 que le pirate ne possede pas et 
I'echange ne sera ni certifie ni poursuivi. 

- le pirate peut recommencer sa tentative pour obtenir Je code suivant mais 
chaque fois il lui manquera le dernier code; de plus, apres avoir obtenu le code 

05 n°1 de Fautorite, le pirate interromp Techange (qu'il ne peut continuer ne 

possedant pas !e code n°2) pour s'adresser au support- au debut de I'echange 
suivant avec rautorite, concernant ce meme support auquel le pirate essai de 
substituer un faux support, Techange precedent ayant ete interrompu, le systeme 
informatique de Tautorite va t de preference, annuler le code n°1 concernant cet 

10 echange interrompu ainst que le code suivant le n°2 (que lui propose le pirate) et 
demander le code n°3 que le pirate ne possede pas et il se retrouve dans les 
conditions du debut alors que s'il ne s'agissait que d'un probleme de transmission 
ou de mauvaise manipulation, le vrai support qui a deja utilise les codes n°1 et 
n°2 est pret a utiliser le code n°3 et a poursuivre un echange sans interruption. 

15 - au bout d'un certain nombre de tentatives de ce genre, de prer6rence, le 

systeme informatique de rautorite signale qu'il y a une tentative d'intrusion par tel 
support. 

Selon une autre variante, a I'authentification du support s ? ajoute, de preference, 
20 Identification du porteur c'est-a-dire son identification en tant que porteur 
autorise d'un support determine. 

Un premier moyen d'identification consiste en une photo d'identite integree au 
support de maniere indissociable ce qui permet une identification pour un 
echange sur place par exemple lors d'un paiement chez un commergant 

25 D'autres moyens permettent une identification du porteur sur place mais aussi a 
distance comme un lecteur specialise pour identifier le fond de I'oeuil, une 
empreinte digitale ou un code genetique h partir par exemple de la salive ou 
effectuant une reconnaissance vocale qui reconnait les paroles et identifie le 
porteur par comparaison a des voix memoris6es; ces moyens sont surs pour 

30 identifier un individu mais les donn6es representant cette identification peuvent 
etre piratees afin d f etre utilises delictueusement tfest pourquoi, de preference, 
cette identification s'ajoute d Tauthentification du support pour former un 
ensemble sScurise. Ledit lecteur specialise peut faire partie integrante du support 
au moins pour la partie servant a Identification. 

35 Dans cette variante, £ cette ensemble securise, s'ajoute de preference, au moins 
un dispositif secondaire associe au fonctionnement du support lors d'un echange 
ou de Tamor9age d'un echange. L'intervention dudit dispositif secondaire est 
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indispensable au fonctionnement du support sans quoi celui-ci n'echange pas 
quelle que soit la sollicitation exterieure. Chaque utilisation du support necessite 
Tintervention dudit dispositif secondaire. Mis en relation avec le support, avec ou 
sans contact electrique, le dispositif secondaire n'est, de preference, operant que 

05 pendant un laps de temps predetermine pendant lequel le support peut soit etre 
utiiise soit etre amerce pour sirs utilise \z temps necassairs sans limitation; an 
dela de ce laps de temps qui peut etre par exemple de quelques secondes ou de 
quelques minutes, ledit support necessite a nouveau une intervention dudit 
dispositif secondaire pour echanger ou amorcer un echange. 

10 Le vol dudit support ne peut permettre son utilisation qui doit etre associee audit 
dispositif secondaire pour fonctionner. 

La possession dudit dispositif secondaire peut etre assimilee £ une identification 
dans la mesure ou ledit dispositif secondaire est attache a son possesseur et 
peut rester secret tant dans son aspect que dans son lieu de fonctionnement; il 

1 5 peut etre personnalis6 et . de preference, integre dans un objet personnel du 
porteur tel que montre, bracelet, pendentif, ceinture, monture de lunettes ou 
meme etre implante par exemple sous la peau pour !es porteurs qui le desirent 
La source de courant electrique, rechargeable ou non, destinee au 
fonctionnement du/des systeme(s) permettant Tintervention dudit dispositif 

20 secondaire par rapport audit support, est disposee, suivant que le mode de 

fonctionnement est avec ou sans contact electrique, dans le dispositif secondaire 
et/ou dans le support; elle peut aussi n'etre pr6sente que dans le lecteur de 
supports et alimente alors Pensemble lors de ('utilisation du lecteur. 

25 Avantages du dispositif: 

- dans un paiement ou un telepaiement e'est la banque ou la tierce partie a qui la 
banque a delegue son autorite qui decide de donner ou de refuser son accord 
pour une operation. Etant donne que e'est pratiquement sans risque, une banque 
peut garantir le bon fonctionnement du systeme de paiement et de telepaiement 

30 et prendre a sa charge tout risque de fraude ce qui est un atout essentiel pour 
augmenter le nombre de ses clients vis £ vis de ce type de paiement. 

- un support tel que decrit plus haut ne peut pas etre reproduit puisque la liste de 
codes secrets n'est pas accessible et sans cette liste le support est inutilisable, 

- sauf a choisir une forme nouvelle de supports, un lecteur sp£cifique n'est pas 

35 n6cessaire; pour une carte de paiement, un lecteur classique de cartes suffit; ce 

n'est pas le lecteur qui assure la securisation, e'est le support et son lien avec 
Tautorite. 
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Revendications 

1) Dispositif pour la s6curisation des ^changes de donnees informatiques en 
vue notamment d'§changer des donnees confidentielles et/ou d'effectuer des 
paiements sur place ou des tel6paiements utilisant des moyens informatiques 
caracteris6 

05 - d'une part par un support comportant un systeme comportant des fonctions 
permettant,entre autres, de communiquer avec d'autres systemes informatiques 
et ayant au mois une m6moire permettant de stocker des donnees sous forme de 
codes et/ou d'algorithmes, servant a I'authentification dudit support par I'autorite 
qui g6re Tutilisation des supports tels que ledit support, et/ou a I'authentification 

1 0 mutueHe entre deux entites utilisant des moyens informatiques, ces codes et/ou 
ces algorithmes 6tant disposes de preference dans au moins une liste rendue 
inaccessible a la consultation une fois qu'elle est inscrite dans ladite memoire 
dudit support, sauf pour le premier code et/ou le premier algorithme de ladite liste 
qui peut etre utilise pour un echange, une fois et une fois seulement, apr6s quoi il 

1 5 est ecarte ou efface ou rendu inaccessible et c'est le code et/ou ralgorithme 
suivant de ladite liste qui est alors le seul a pouvoir etre consulte, utilise comme 
code pour le m§me echange ou pour un autre 6change, lesdits codes et/ou 
lesdits algorithmes se succ6dant de maniere impr6visible pour un observateur 
exterieur a la confidentiality de leur composition et de leur disposition etant 

20 congus et disposes de preference de mantere ateatoire par un logidel et de 
preference c'est le meme logiciel qui cr6e au moins une seconde liste 
absolument identique & ladite liste inscrite dans le support, ladite seconde liste 
etant mise en m6moire dans le systeme informatique de ladite autorite ou d'une 
autre entite, 

25 - d'autre part un systeme d'expoitation qui permet un ^change de donn6es en 
utilisant en combinaison au moins un support tel que ledit support et/ou ledit 
systeme informatique de ladite autorite et/ou d'une autre entite et/ou des moyens 
des moyens de transmission et de traitement informatiques n£cessaires audit 
^change. 

30 

2) Dispositif selon la revendication 1 , caract6ris6 en ce que au moins une liste 
de codes et/ou d'algorithmes du support objet de I'invention est completee ou 
remp!ac6e par un algorithme qui cr6e des codes et/ou des algorithmes utilisables 
comme ceux de ladite liste, au fiir et & mesure de ('utilisation dudit support, au 
35 moins un algorithme install^ dans le systeme informatique de ladite autorit§ 

cr6ant les mdmes codes et/ou les mfemes ^|9orithmes^our les comparer p ceux 
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dudit support permettant d'authentifier un support tel que ledit support lors d'un 
echange de donn^es entre ledit support et ladite autorite et/ou une autre entity 
et/ou permettant une authentication mutuelle entre ledit support et ladite autorite 
ou ladite entity 

3) Dispcsitif se!on I'jjns quelconque des revendicatlons preced snis* 5 
caracteris6 par I'association par le systeme du support objet de Kinvention d'au 
moins un code et/ou au moins un algorithme d # au moins une liste dudit support 
aux donnees echang6es lors d'un echange. 

4) Dispcsitif selon Tune quelconque des revendications pr6cedentes, 
caracteris6 en ce que le support objet de I'invention n'est utilisable qu'avec un 
seul materiel informatique tel qu'un ordinateur ou un lecteur avec lequel il doit 
effectuer une reconnaissance mutuelle avant de pouvoir §tre exploitable. 

5) Dispositif selon Tune quelconque des revendications ptec6dentes, 
caracteris6 en ce que chaque utilisation du support est subordonnee a 
I'introduction dans le systeme dudit support et a son acceptation d'un code 
personnel propre audit support et au porteur authentique dudit support, ledit code 
personnel 6tant variable dans le temps, les variations 6tant secretes sauf pour 
ledit porteur. 

6) Dispositif selon Tune quelconque des revendications pr6c6dentes, 
caracteris6 en ce qu'en cas d'utilisation d'un code particulier, ledit code 
d§clenche le blocage de i'utilisation du support objet de ('invention dans le 
systeme informatique de ladite autorite, soit definitivement soit provisoirement. 

7) Dispositif selon Tune quelconque des revendications prec6dentes t 
caracteris6 par ('association au systeme Sexploitation d'un dispositif adjoint 
emettant au moins un signal qui peut etre un signal d'horloge qui est assocte £ 
tout ou partie des donn6es d'un echange, le systeme informatique de ladite 
autorite detectant, dans un 6change grdce audit dispositif adjoint, toute anomalie 
dans I'echange des donn6es pouvant indiquer une modification des donn6es 
elles nrtemes. 

8) Dispositif selon la revendication 7 caracteris6 en ce que les caracteristiques 
dudit signal(desdits signaux) varient dans un rrteme echange et/ou pour chaque 
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echange, les modes de variations etant de preference en nrfemoire et 
inaccessibles dans ledit support et dans ledit systeme informatique de ladite 
autorite. 

9) Dispositif selon Tune quelconque des revendications pr6c6dentes, 
caracterisd ervcs que Jedit support r.e foumit, Jcrsqu'i! est solJidte direciement ou 
par un lecteur de support, que les donn6es permettant d'interroger ladite autorite 
qui g6re I'utilisation dudit support, ladite autorite devant adresser, pour que 
I'echange se poursuive avec ledit support, des donn6es particulieres qui sont de 
preference le premier code et/ou le premier algorithme d'au moins une desdites 
listes de codes et/ou d'algorithmes inscrite dans une m£moire dudit support, 
inaccessible, sauf £ accgder au premier code et/ou au premier algorithme 
seulement comme decrit dans la revendication 1; apr£s avoir reconnu lesdites 
donn6es particulieres, ledit support pouvant adresser £ son tour des donndes d 
ladite autorite pour etre authentifie et que I'echange puisse se poursuivre entre 
les deux entites mutuellement authentifiees, en cas d'echec de ladite 
authentification mutuelle une nouvelle tentative est possible, le nombre des 
tentatives etant de preference limite. 

10) Dispositif selon Tune quelconque des revendications pr^cedentes, 
caracterise en ce que Identification du porteur d'un support tel que selon 
Tinvention se fait grace £ un dispositif secondare indispensable k ('utilisation 
dudit support avant ou pendant un echange de donn6es ou a Pamor^age d'un 
echange, avec ou sans contact eiectrique avec ledit support, ledit dispositif 
secondare etant de preference integr6 dans un objet personnel dudit porteur 
et/ou en un lieu qui peut n 4 §tre connu que par ledit porteur m£me pendant 
('utilisation dudit dispositif secondare. 
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